入侵检测系统（Intrusion Detection System，IDS）是一种实时的网络入侵检测和响应系统，它能够实时监控网络传输，它依照一定的安全规则，使用入侵检测技术对被保护的网络流量进行检测，或对系统的运行状况进行监视，自动检测可疑行为，分析来自网络外部和内部的入侵信号，尽可能发现各种攻击企图、攻击行为或攻击结果，在发现有入侵行为或者将要有入侵行为时发出警报，实时对攻击做出响应，并提供补救措施，以保证网络系统资源的机密性、完整性和可用性，最大限度地为网络系统提供安全保障。入侵检测系统是防火墙之后的第二道安全闸门。

一个入侵检测系统通常由探测器（Sersor）、分析器（Analyzer）、响应单元（Response Units）和事件数据库（Event Databases）组成。事件是IDS中所分析的数据的统称，它可以是从系统日志、应用程序日志中所产生的信息，也可以是在网络抓到的数据包。

（1）探测器：探测器主要负责收集数据。入侵检测的第一步就是收集数据，内容包括任何可能包含入侵行为线索的系统数据，如网络数据包、日志文件和系统调用记录等。通常需要在计算机网络系统中的若干个不同的关键点收集数据，这是因为入侵检测在很大程度上依赖于收集数据的正确性和可靠性。有时从一个数据源来的数据有可能看不出问题，但是从几个数据源来的数据的不一致却是可疑行为或入侵物最好标识。探测器将这些数据收集起来后，发送到分析器进行处理。

（2）分析器，又称为分析部件，它的作用是分析从探测器中获得的数据，主要包括两个方面：一是监控进出主机和网络的数据流，看是否存在对系统的入侵行为；另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时发现它，从而避免遭受攻击；后者是在遭受攻击时，未能及时发现和阻止攻击行为，但可以通过攻击行为留下的痕迹，了解攻击行为的一些情况，从而避免再次遭受攻击。对系统资源完整性的检查也有利于对攻击行为进行取证。(www.daowen.com)

（3）响应单元。它的作用是对分析所得结果做出相应的动作，或者是报警，或者是要改文件属性，或者是阻断网络连接等。

（4）事件数据库。又称为日志部件，存放的是各种中间数据，记录攻击的基本情况。